Par Me Antoine Pleau-Trottier, superviseur au service de la gestion des risques de La Mutuelle des municipalités du Québec (MMQ)

Le confinement a amené plusieurs entreprises et municipalités à reconsidérer l’organisation du travail à l’interne. Le virage vers le travail à la maison, qui en fait partie, offre des avantages, mais comprend aussi des risques. En effet, l’avènement du télétravail augmente le niveau de risque pour la cybersécurité auquel sont exposés les employés. Selon le rapport de Proofpoint, l’erreur humaine est la plus grande vulnérabilité des attaques informatiques au Canada. Ces risques sont souvent engendrés par l’inattention due à une surcharge de courriels, l’utilisation des outils personnels pour le travail, ainsi que la négligence.

Afin d’illustrer nos propos, nous présentons ci-dessous un exemple fictif, mais très réaliste, d’un événement qui pourrait survenir dans de nombreuses municipalités. À noter que toute ressemblance avec des personnes ou des faits ayant eu lieu n’est que pure coïncidence.

Ce qui est arrivé

La Municipalité sur-la-route-de-la-cybersécurité accueille un nouvel employé aux travaux publics. Dès sa première journée dans l’équipe, Tristano reçoit un ordinateur portable ainsi que ses codes d’accès pour se connecter aux différents logiciels et accéder à ses courriels. Devant cette tonne de nouveaux mots de passe, Tristano se sent submergé, alors il enregistre ses codes d’accès sur son téléphone intelligent personnel dans le but de les retrouver facilement en cas d’oubli. Aussi, une fois de temps en temps, il utilise son téléphone personnel pour accéder à ses courriels.

Par un lundi très occupé, avant de quitter la maison après son dîner, Tristano décide de répondre à quelques courriels à l’aide de son téléphone personnel. À sa grande surprise, il a un courriel sans objet de son directeur avec la mention urgent. Afin de démontrer son efficacité ainsi que sa polyvalence, il répond immédiatement au courriel qui lui demande de changer ses mots de passe rapidement, car la Ville est victime d’une brèche informatique. Plusieurs fautes d’orthographes ainsi que de nombreux points d’exclamation lui font douter de la véracité du courriel reçu. Malgré l’ensemble de ses doutes, Tristano comprend qu’il s’agit d’un message qui nécessite un suivi rapide et le délai de réponse est crucial. Il s’empresse donc de répondre à la demande de son supérieur. Il utilise l’hyperlien dans le courriel et répond à toutes les questions posées afin de réinitialiser son mot de passe.

Résultat : Tristano vient d’ouvrir la porte de l’infonuagique de la municipalité à des pirates informatiques. De son côté, la municipalité s’expose à des risques. Les cybercriminels ont maintenant un terrain fertile pour tenter d’accéder au serveur informatique et poser des actions malveillantes.

Comment cela aurait-il pu être évité?

D’abord, il est déconseillé d’enregistrer les mots de passe sans protection sur un appareil intelligent. Il est recommandé d’utiliser un gestionnaire de mots de passe, soit une application qui sauvegarde les noms d’usager et les mots de passe à votre place sans compromettre la sécurité de vos informations.

Par ailleurs, ces applications activent généralement l’authentification à double facteur. Ce processus de sécurité offre une protection supplémentaire en authentifiant l’utilisateur en deux étapes. Ainsi, même si une autre personne connaissait votre mot de passe, elle aurait besoin du deuxième code pour confirmer qu’il s’agit bien de vous.

Ensuite, l’utilisation des outils personnels pour le travail n’est pas conseillée. Étant donné que ces outils n’ont pas les mêmes mécanismes de défense que les systèmes utilisés par une organisation, il est préférable de toujours utiliser le matériel informatique sécurisé.

Posséder des ordinateurs à jour et dotés des plus récents correctifs disponibles contribue grandement à réduire le risque global d’infection d’une municipalité.

Finalement, le courriel aurait dû être vérifié méticuleusement avant d’être répondu. Il existe plusieurs façons d’assurer la légitimité d’un courriel reçu. Par ailleurs, être vigilant dans la détection des courriels d’hameçonnage et informer vos employés d’être proactif constitue également une étape critique de la protection.

Le webinaire sur les cyberrisques offert sans frais par la MMQ présente les pratiques exemplaires et les stratégies qui doivent être adoptées pour atténuer et gérer les cyberrisques. La formation est sans aucun doute le meilleur moyen de s’outiller afin de prévenir ses risques.

Vous pouvez également en apprendre davantage sur les risques liés à la cybersécurité dans le contexte municipal en consultant nos articles de blogue.